ZBC Kennisbank

Bedrijfsmanagement is niet moeilijk

 

De afgelopen jaren is er een wat verwrongen beeld ontstaan van wat goed bedrijfsmanagement is. Snel geld verdienen, snel groeien en het vermijden van schandalen staan vaak centraal. We zien dit bij zowel profit- als non-profit organisatie. Alleen bij familiebedrijven is het meestal anders. Deze bedrijven staan wat minder in het licht van de media en weten dat de lange termijn meer is dan het eind van dit kwartaal of de volgende verkiezingen. Door het hanteren van een managementsysteem houden zij de organisatie goed bestuurbaar.

Bij een managementsysteem denken veel mensen direct aan een geweldige papierwinkel. Vroeger was dat misschien waar. Tegenwoordig is het vooral iets wat tussen de oren van het management moet zitten. Een managementsysteem gaat om een aantal samenhangende activiteiten, die er voor zorgen, dat een organisatie succesvol is en blijft, zelfs als niet alles loopt zoals dit was verwacht.

Een statisch managementsysteem kan als volgt worden weergegeven:

PC-cyclus management systeem

Vrijwel altijd kennen organisaties wel beleid, planning en uitvoering, maar vaak hebben deze in de praktijk niets met elkaar te maken. De pijlen ontbreken. Beleidsmakers hebben dan geen enkel zicht op het effect van hun beleid, maar doordat ook geregeld de control-functie ontbreekt, wordt dit niet eens opgemerkt. Juist een goede invulling van de pijlen is essentieel voor de werking van het managementsysteem. Hieronder gaan we daar dieper op in.

Beleid

Uitgangspunt voor het bedrijfsbeleid zijn de missie en de doelstellingen van de organisatie. Zeker de missie is van belang, omdat deze het bestaansrecht van de organisatie beschrijft. In de praktijk zien we helaas maar al te vaak, dat een eenmaal bestaande organisatie zich krampachtig richt op het zichzelf in stand te houden. Zeker binnen de overheid en semi-overheid bestaan veel onderdelen, die in de huidige tijd in feite geen bestaansrecht meer hebben. Maar ook in de private sector zijn er tal van voorbeelden. Als dat echter het geval is, moet je gewoon stoppen. Helaas hebben maar weinig bestuurders voldoende lef om deze beslissing te nemen.
De missie wordt vertaald in doelstellingen die de organisatie wil realiseren, om haar bestaansrecht waar te maken. Deze doelstellingen liggen per definitie in de omgeving van de organisatie. Het gaat om klanten en andere stakeholders. De doelstellingen zijn het uitgangspunt voor het beleid.
Het beleid beschrijft de weg die de organisatie wil gaan om haar doelen en missie te realiseren. Belangrijk onderdeel van het beleid is een analyse van de externe en interne stakeholders van de organisatie en hun eisen en verwachtingen, voor zover die een rol spelen in het bereiken van de doelstellingen. Om de juiste weg te vinden naar de realisatie van de doelstellingen is verder een inventarisatie nodig van kansen en bedreigingen (kortweg risico’s). Omdat het beleid ook de planningsfunctie moet aansturen, wordt het geconcretiseerd in een aantal beleidsuitgangspunten, waarin verwoord staat wat de bestuurders willen, niet willen of waar nadere besluitvorming voor nodig is. Tevens worden vaak normenkaders gekozen, die als handvat dienen voor de interne norm. Soms is dat zelfs wettelijk voorgeschreven zoals bijvoorbeeld de Wet Bescherming Persoongegevens (privacy) of bij branche specifieke normen.

Planning

De planningsfunctie heeft een tweetal taken:

  • het vaststellen van een interne norm op basis van de beleidsuitgangspunten, waarbij gebruik gemaakt wordt van een normenkader.
    Deze norm wordt vaak vastgesteld voor een deelgebied zoals milieu, veiligheid, arbo, informatiebeveiliging enzovoort. Het is daarbij zaak om per aspectgebied de relevante beleidsuitgangspunten te selecteren.
  • Het vertalen van de norm naar concrete maatregelen en deze als acties uit te zetten in de organisatie
    Doorgaans wordt dit gedaan door de tekortkomingen van de organisatie te bepalen, deze af te zetten tegen de bedrijfsrisico’s en deze op een tijdslijn te zetten als basis voor de verbetercyclus, vaak met een scope van drie jaar.

Een veel gemaakte fout is dat deze twee taken gecombineerd worden. Aan de ene kant wordt dan het managementsysteem opgezet, waardoor de organisatie in control is, ofwel er de zekerheid is, dat de organisatie altijd voldoet aan de interne norm. Aan de andere kant probeert men tegelijkertijd de lat ook hoger te leggen. Gevolg is, dat tegen beide weerstand ontstaat en er veel dure reparaties nodig zijn om toch beide doelen te bereiken, wat doorgaans toch niet lukt. Je weet dan immers enerzijds niet of de organisatie voldoet aan haar eigen interne norm, maar anderzijds ook niet of de verbeteringen echt doorgevoerd worden. Daarom is de volgorde, dat je eerst het managementsysteem opzet en borgt in de organisatie en dat je pas daarna via de verbetercyclus de lat stapje voor stapje hoger legt, waarbij steeds de zekerheid blijft dat de organisatie in control is. Zolang je nog bezig bent met het opzetten van het managementsysteem, kunnen er alleen acties benoemd worden die ten doel hebben het managementsysteem werkend te krijgen. Dat is ook waar je bij een audit op wordt beoordeeld.

Uitvoering

Zolang je bezig bent met het opzetten en borgen van het managementsysteem, verandert er dus in de uitvoering niet veel. Hooguit verandert de vastleggingen van resultaten en incidenten, zodat de control functie haar werk kan doen. Verbeteren komt later.

Control

De control functie heeft tot taak de werking van het managementsysteem te beoordelen en hierover te rapporteren. Hieruit volgt een aantal activiteiten:

  • Er wordt geverifieerd of de interne norm wordt nageleefd; afwijkingen worden bepaald, waarbij ook gekeken wordt of de interne norm wel haalbaar is.
  • Incidentrapportages worden beoordeeld. Hierbij is van belang dat de incidenten goed zijn afgehandeld. Verder worden de ‘lessons learned’ vastgesteld en wordt gecheckt of de risico’s wel goed zijn ingeschat. Hierbij moet echter gewaakt worden voor de risico-regelreflex, wat wil zeggen dat als een incident plaatsvindt, dat niet betekent dat het risico per definitie hoger wordt en aanvullende maatregelen nodig zijn.
  • Een derde punt dat beoordeeld wordt, is of veranderingen (investeringen, wijzigingen, nieuwe klanten, andere wet- en regelgeving) goed behandeld zijn en geen afbreuk hebben gedaan aan het managementsysteem.

Meestal worden de activiteiten van de control functie uitgevoerd in interne audits. Daarin worden al deze activiteiten beoordeeld. Als het managementsysteem is opgedeeld in deelgebieden, dan wordt ook vaak een interne audit uitgevoerd per deelgebied. Hierbij is het dan wel van belang, de functiescheiding tussen de planning en de control functie in stand te houden. Eventueel kan een externe partij ingeschakeld worden voor een audit per deelgebied.
Belangrijk is dat de rapportage van de control functie niet alleen bevindingen geeft, maar vooral ook aanbevelingen waarop bijsturing kan plaatsvinden:

  • de directie op haar risicobeoordeling en haar beleidsuitgangspunten;
  • de planningsfunctie op de interne norm of de planning;
  • de uitvoering op de vastlegging en het behandelen van incidenten.

Het dynamische aspect van het managementsysteem

Het bovenstaand beschreven managementsysteem is statisch. Daarom zal de exercitie om het managementsysteem op te zetten eens in de drie jaar herhaald moeten worden. Bedrijfsrisico’s zijn een tamelijk constante factor en als er geen directe aanleiding voor is, mag aangenomen worden dat deze in die drie jaar niet noemenswaardig veranderen.
Aanleidingen om tussentijds het managementsysteem nog eens onder de loep te nemen, zijn incidenten en veranderingen.

Incidenten

Natuurlijk vinden er incidenten (inbreuk op de interne norm) plaats. Op zich is dat niet zorgelijk. Incidenten moeten geregistreerd en geanalyseerd worden. In twee gevallen is actie vereist:

  • Een incident herhaalt zich te vaak. Dat betekent, dat het managementsysteem niet aansluit op de praktijk. Dit zal doorgaans leiden tot een verbeteractie op de interne norm (aanpassing van een maatregel).
  • Er treedt een niet voorzien incident op met grote impact. In het algemeen betekent dit, dat er een risico over het hoofd is gezien. Ook in dit geval wordt er een verbeteractie gedefinieerd, die echter vaak een grotere impact heeft. Mogelijk betekent het aanpassen van de risicoanalyse en beleidsuitgangspunten, wat vervolgens weer vertaald wordt naar de interne norm.

Belangrijk punt hierbij is, dat veel voorkomende incidenten en incidenten met grote impact zelden de schuld zijn van de uitvoeringsfunctie. De praktijk is leading en niet de theorie.

Veranderingen en wijzigingen

Natuurlijk vinden er in de loop van die drie jaar veranderingen plaats, intern of in de omgeving. Dit kan gaan om de definitie van nieuwe product-marktcombinaties, het openen van een nieuwe vestiging, veranderende wetgeving of het opkomen van een nieuwe concurrent. Dit leidt in feite altijd tot een investeringsvoorstel of een wijzigingsvoorstel. Essentieel is dat er bij grotere investeringen of wijzigingen ook gekeken wordt naar de impact van het voorstel op het managementsysteem als geheel of op één van de deelsystemen. Besluitvorming puur op financiële gronden is dus niet aan de orde. Als blijkt dat een voorstel een negatieve impact heeft voor het managementsysteem of één van de deelsystemen, dat komt de reparatie hiervan ten laste van het voorstel.
Hierdoor vinden veranderingen gecontroleerd plaats en hoeven de verantwoordelijkheden van de deelsystemen niet continu te monitoren, of er iets in of rond de organisatie plaatsvindt, waarop zij misschien moeten reageren. Dit bespaart tijd en verbetert de besluitvorming.

Hoe een managementsysteem vorm te geven

Een managementsysteem is dus weinig anders is dan het adequaat besturen van een organisatie, zodat deze in control is, uiteraard gebaseerd op ‘Knowing the business’. Daarop is ook bestuurdersaansprakelijkheid gebaseerd. Als de organisatie een werkend managementsysteem heeft en dus in control is, dan hoeven bestuurders niet bang te zijn dat ze, zelfs in het geval van een calamiteit of bij grove fouten, aansprakelijk gesteld worden.
Ook de ISO-normen zijn tegenwoordig volgens deze insteek opgezet. Voor ISO 9001 gebeurt dit in 2015. (Zie ‘Herziening ISO 9001: High Level Structuur – HLS’.) Voor ISO 27001 is dit bijvoorbeeld nu al het geval. Dus de moderne ISO-normen eisen geen dikke handboeken meer met veel procedures en tot in detail uitgewerkte werkinstructies. Aantoonbaar maken dat het managementsysteem werkt is nu de belangrijkste eis. (Zie ook ‘ISO 9001:2015 betekent afscheid van kwaliteitshandboek’.)
Maar waar het in de kern om gaat, is dat u voor uw klanten een betrouwbare leverancier bent, die waar voor zijn geld biedt en die afspraken nakomt, ook als het eens tegenzit of als de tijden veranderen.

Team Kikk ondersteunt zijn klanten met het pragmatisch inrichten en onderhouden van een werkbaar managementsysteem voor ISO 9001:2015 of ISO 27001.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur: Wiebe Zijlstra | 22 januari 2015


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *